Vorläufige Beschreibung des Hare-Virus Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollständig analysiert. Die folgende Beschreibung des Hare-Virus beruht des- halb im wesentlichen auf Informationen von Data Fellows, Vesselin Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) durchgeführt wurden. Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da über Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share- ware und alt.cracks infizierte Dateien heruntergeladen werden konnten. Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610, Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen entsprechen der Länge des Virus-Codes (nach der polymorphen Entschlüs- selungs-Routine) der betreffenden Variante. Virus-Typ: Hare ist ein polymorpher Virus. Die Verlängerung infizier- ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf jeweils einem Datenträger (Festplatte oder Diskette) gleich (auch mit "slow polymorphic" bezeichnet). Der Virus wird im Speicher resident und besitzt Tarnkappen-Eigenschaften. Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest- platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist, daß der Virus den Virus-Code auf Festplatten und auf Disketten auf Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie- gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab- stürzen führen, wenn der Zugriff auf diese Spuren fehlschlägt. Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1). Er überschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der DOS-Befehl FDISK /MBR darf deshalb keinesfalls für eine manuelle Rege- nerierung des Partition-Records verwendet werden. Bei einem Kaltstart von der Festplatte wird die Partition-Table vom Virus temporär restau- riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro- gramm ausgeführt werden kann. Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese aber mit 17 statt mit 18 Sektoren, so daß diese Spur von vielen Disk- Editoren nicht gelesen werden kann. Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder die den Buchstaben "V" im Namen enthalten, werden nicht infiziert. Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT, werden also nicht verändert. Außerdem wird auch COMMAND*.* übergangen. Durch diese Technik soll eine schnelle Entdeckung von Hare durch den Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme verhindert werden. Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung dienen, und gegen eine automatische Analyse zu schützen Anti-Emulati- on-Engine und Anti-Debugging). Der Virus fängt unter anderem den Tastatur-Interrupt ab. Unter noch nicht geklärten Bedingungen werden vom Virus die eingegebenen Buchsta- ben "Y" und "N" ausgetauscht. Vermutet wird, daß dadurch BIOS-Schutz- funktionen, die das Überschreiben des Partition-Records erkennen und verhindern sollen, wirkungslos werden. Weiterhin benutzt der Virus - vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest- platten. Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion: Am 22. August (1996 ein Donnerstag) und am 22. September (1996 ein Sonntag) wird von Hare die Meldung: "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare... auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerstört (Hinweis: HD steht hier sicher für "hard disk"). Allerdings kann es aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne daß der Inhalt der Festplatte zerstört wird (Programmierfehler des Viren-Autors?). Der PC hängt sich in diesem Fall unmittelbar nach Ausgabe der Nachricht auf. Auf jeden Fall können "Do-it-yourself"-Schäden entstehen, wenn auf einen vom Hare infizierten Partition-Record zu dessen Regenerierung der DOS-Befehl FDISK /MBR angewandt wird. Einige Programme können nach ihrer Infektion nicht mehr ausgeführt werden. Der Grund dafür ist vermutlich ein Fehler in der polymorphic Engine. Weiterhin wurde auf mehreren PCs beobachtet, daß von einer infizierten Festplatte kein Kaltstart mehr durchgeführt werden konnte. Die Ursache ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek- tion des Partition-Records. Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein- fachen Bordmitteln möglich. Allerdings werden die Attribute von BAT- Deteien, die ausgeführt wurden während der Virus resident im Speicher ist, gelöscht. Für das Regenerieren infizierter Partition-Records darf - wie bereits erwähnt - FDISK /MBR keinesfalls verwendet werden. Die oben angegebenen Varianten des Hare-Virus können mit Hilfe des von Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt und entfernt werden. Nach dem Start wird zunächst geprüft, ob sich der Hare-Virus bereits resident im Speicher befindet.